FortiNACにおけるCVSS9.8の脆弱性、PoCが公開 今すぐアップデートを

FortiNACの脆弱性を利用するPoCが公開された。対象の脆弱性はCVSSスコア値が9.8で深刻度「緊急」（Critical）に分類される。迅速にアップデートの適用が求められる。

[後藤大地，有限会社オングス]

　Fortinetは2023年2月16日（現地時間）、次世代ファイアウォール「Fortinet FortiNAC」（以下、FortiNAC）に脆弱（ぜいじゃく）性が存在すると伝えた。

　同脆弱性は「CVE-2022-39952」として特定されており、共通脆弱性評価システム（CVSS）スコア値が9.8で深刻度「緊急」（Critical）に分類される。2023年2月21日には、これを利用したサイバー攻撃に関するPoC（概念実証）も公開されている。

FortinetはFortiNACに脆弱性が存在すると伝えた（出典：FortinetのWebサイト）

CVSSスコア値9.8　PoC公開済みのため急ぎ対処を

　Fortinetによると、CVE-2022-39952を利用されると、遠隔からサイバー攻撃者によって任意の書き込みを実行される危険性がある。影響を受けるバージョンは以下の通りだ。

• FortiNAC 9.4.0
• FortiNAC 9.2.5
• FortiNAC 9.2.4
• FortiNAC 9.2.3
• FortiNAC 9.2.2
• FortiNAC 9.2.1
• FortiNAC 9.2.0
• FortiNAC 9.1.7
• FortiNAC 9.1.6
• FortiNAC 9.1.5
• FortiNAC 9.1.4
• FortiNAC 9.1.3
• FortiNAC 9.1.2
• FortiNAC 9.1.1
• FortiNAC 9.1.0
• FortiNAC 8.8.9
• FortiNAC 8.8.8
• FortiNAC 8.8.7
• FortiNAC 8.8.6
• FortiNAC 8.8.5
• FortiNAC 8.8.4
• FortiNAC 8.8.3
• FortiNAC 8.8.2
• FortiNAC 8.8.11
• FortiNAC 8.8.10
• FortiNAC 8.8.1
• FortiNAC 8.8.0
• FortiNAC 8.7.6
• FortiNAC 8.7.5
• FortiNAC 8.7.4
• FortiNAC 8.7.3
• FortiNAC 8.7.2
• FortiNAC 8.7.1
• FortiNAC 8.7.0
• FortiNAC 8.6.5
• FortiNAC 8.6.4
• FortiNAC 8.6.3
• FortiNAC 8.6.2
• FortiNAC 8.6.1
• FortiNAC 8.6.0
• FortiNAC 8.5.4
• FortiNAC 8.5.3
• FortiNAC 8.5.2
• FortiNAC 8.5.1
• FortiNAC 8.5.0
• FortiNAC 8.3.7

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiNAC 9.4.1およびこれ以降のバージョン
• FortiNAC 9.2.6およびこれ以降のバージョン
• FortiNAC 9.1.8およびこれ以降のバージョン
• FortiNAC 7.2.0およびこれ以降のバージョン

　該当製品を使用している場合は迅速にアップデートを適用してほしい。なお、Horizon 3 AIはCVE-2022-39952をサイバー攻撃に利用するPoCをGitHub.comで公開した。